14. desember 2005 vedtok EU-parlamentet et nytt direktiv om logging og oppbevaring av trafikkdata for elektronisk kommunikasjon. Det uttalte målet er å hjelpe nasjonale myndigheter spore opp kriminelle og terrorister ved å sørge for tilgang til lister over mistenktes telefonaktivitet og internett-trafikk.
Det vedtatte direktivet pålegger derfor tilbydere av elektroniske kommunikasjonstejenster å registrere data knyttet til telefonsamtaler, internettaksess og oppkobling mot kommunikasjonstjenester. Disse loggene skal lagres i mellom 6 og 24 måneder, og tilgjengeliggjøres for myndighetene.
Det er ikke innholdet av kommunikasjonen som skal registreres, bare informasjon knyttet til selve oppkoblingene – f.eks når samtalen har funnet sted, hvem man har ringt, hvor lenge samtalane varte.
Vedtaket blir møtt med åpne armer av politi og etterforskningsorganer, men er også naturligvis gjenstand for mye kritikk. Blant annet har Datatilsynet uttrykt stor skepsis til direktivet, og frykter uthuling av personvernet. Andre er bekymret for at all denne dataen som nå forlanges lagret havner på avveie, og det er fremdeles uklart – spesielt når det gjelder internettaktivitet – nøyaktig hva det er som skal registreres.
Annonse
ITavisen har intervjuet Kripos-sjef Odd Olsen Ingerø, Økokrims førstestatsadvokat Inger Marie Sunde, og IT-forsker Karl Trygve Kalleberg ved Universitetet i Bergen i forbindelse med denne saken. Disse intervjuene kan du høre ved å laste ned ITavisen Podcast 023.
Hva er vitsen?
– Da samfunnsutviklingen viser at elektronisk kommunikasjon benyttes til alle typer straffbare handlinger, blir elektroniske spor stadig mer avgjørende i bekjempelse av kriminalitet og i særlig grad alvorlig kriminalitet, sier Odd Olsen Ingerø, sjef for Kripos.
Dagens lovgivning gir ingen lagringsplikt for tjenestetilbyder av elektronisk kommunikasjon, men data lagres likevel ofte av faktureringshensyn. Lagringsrett er på normalt 3 måneder, og dataen må slettes etter 3 måneder. Datakrimavdelingen i KRIPOS mener at tiltaket er nødvendig for å sikre politiet tilgang på informasjon i fremtiden.
– Elektroniske kommunikasjonstjenester utvikler seg raskt. Ulike tjenester, nettverk og utstyr konvergerer. Betalingsrutinene endrer seg slik at faktureringen forenkles, tjenester faktureres uavhengig av mengde bruk (tendenserer til å gå bort fra tellerskritt som faktureringsgrunnlag) . Lagring av trafikkdata vil på sikt ikke begrunnes ut fra behov for fakturering. Uten en lovpålagt lagring, kan utviklingen gå i retning av at tilbyderne ikke sitter inne med trafikkdata som kan være avgjørende for at politiet oppklarer kriminalitet, forklarer Ingerø.
Økokrims førstestatsadvokat Inger Marie Sunde samstemmer. Sunde jobber for tiden med en doktorgrad om internettkriminalitet og etterforskningsmetoder ved Institutt for rettsinformatikk ved Unviersitetet i Oslo, og stiller seg positiv til EU-direktivet.
– Problemstillingen når man jobber med internettkriminalitet er jo at man ikke har noen observasjoner utover elektroniske spor. Slik jeg ser det ser det ut som om de nye reglene dekker behovet for å drive etterforskning på dette området.
Hva skal logges?
Nøyaktig hva slags type data som skal registreres, og av hvem, er fremdeles et åpent spørsmål. Direktivet omfatter «trafikk og lokasjonsdata generert ved telefoni, SMS og Internettbruk». Hva med IP-telefoni? Chat? E-post? Besøk av nettsider?
– Når det gjelder aktivitet på internett, så er prinsippet at man skal logge data som er knyttet til oppkoblingen, men ikke data ut over det. For eksempel at man har startet en oppkobling til internett, eller at man har logget seg opp på en e-postserver, eller på en webside, sier Sunde til ITavisen.
Ifølge Sunde vil f.eks NextGenTel måtte sørge for å ha regnskap med når du bruker internett. Men i tillegg vil f.eks Microsoft måtte føre logg over når du logger deg på MSN Messenger, og Google plikter å oppbevare en oversikt over hvor ofte du bruker webmail-tjenesten deres.
Stemmer denne tolkningen later det til at Europa står ovenfor en monumental – noen vil nok si umulig – oppgave, ikke bare teknisk, men også i forhold til ettersyn og kontroll av at de utallige tilbyderne av meldingstjenester, fildelingsnettverk, websider, e-postløsninger og andre kommunikasjonstjenester registrerer det de skal.
Bekymret for misbruk
Mange har også uttrykt bekymring for hva som vil skje hvis all denne loggdataen skulle havne på avveie. Blant disse er IT-forsker Karl Trygve Kalleberg ved Institutt for Informatikk ved Universitetet i Bergen.
– Mulighetene for misbruk er store. Hva nå om datakriminelle skulle få tak i denne informasjonen? Går man tilbake i tid ser man at f.eks brukerdatabasen til Telenor Online har blitt kopiert ut ved flere anledninger. De faktiske dataene her må jo faktisk lagres hos den enkelte tilbyder eller ISP, og det sier seg selv at mange av disse oppstartselskapene neppe har gode nok rutiner for å passe på dem, sier Kalleberg.
– Lett å omgå
Kalleberg poengterer også at det neppe vil være noe problem for kriminelle, terrorister og andre å finne måter å unngå å bli logget på.
– Så lenge terrorister og datakriminelle har en viss innsikt i hvordan systemet fungerer, ser jeg ikke at det kan være så vanskelig å omgå det, sier Kalleberg til ITavisen.
Kripos sier seg enig, men argumenterer likevel for nytteverdien i et skjerpet regeleverk.
– Det vil alltid være slik at det finnes folk som er dyktig til å skjule sine spor. Slik er det i all type kriminalitet, enten den foregår på nett eller ikke. Men selv om vi ikke skulle kunne spore alt, er det likevel meget nyttig å ha muligheter, sier Ingerø.
Personvernet
Datatilsynets direktør Georg Apenes har reagert på EU-direktivet, og trekker inn begrep som «kampen mot terroristspøkelse» og «uthuling av personvernet». Personvernshensyn.
Kripos forsikrer om at det vil bli tatt hensyn til personvernet ved implementasjon av de nye reglene.
– Vi har ønske om å ha et effektivt politi, og skal gjerne være i forkant i forhold til kriminalitet. Da er dette ett av mange midler for å kunne avdekke eller oppdage kriminalitet. Men alle hensyn, ikke bare politiets, må veies her. All denne type metoder eller lovregler vil jo kunne virke inn på personvernet, sier Ingerø til ITavisen.
I hvilken grad vil reglene fra EU-direktivet også gjelde i Norge?
– Etter hva jeg har forstått er dette EØS-relevant regelverk som også Norge må implementere. Men dette har jo også med harmonisering av lovgiving å gjøre. Det å registrere disse dataene representere en kostnad for tilbyderne og tjenesteyterne, og med hensyn til retterdig konkurranse tror jeg man i Norge vil tilstrebe en lik regulering som resten av Europa, allerede av den grunn, sier Sunde.
For å høre utvidete kommentarer fra de vi har intervjuet i denne saken, last ned ITavisen Podcast 023.
Lenker:
> EU-parlamentets saksgang og -dokumenter
> Pressemeldingen om det vedtatte direktivet
Annonse
